為什么我們認(rèn)為屬于網(wǎng)絡(luò)安全的時代已經(jīng)過去了？

企業(yè)在網(wǎng)絡(luò)安全方面的投資比以往任何時候都多，但我們也看到了創(chuàng)紀(jì)錄的違規(guī)數(shù)量。據(jù)報道，去年有51億多條個人信息被盜，平均違規(guī)成本已攀升至435萬美元。

 網(wǎng)絡(luò)安全威脅行為者變善良了嗎？或者這是一個商業(yè)失??？

 不可否認(rèn)，網(wǎng)絡(luò)罪犯已經(jīng)變得更有組織，更先進的工具和戰(zhàn)術(shù)越來越容易使用。但所有這些數(shù)十億美元沒有對違規(guī)數(shù)量產(chǎn)生影響的真正原因是，資金往往沒有以正確的方式使用。

 有一個巨大的高質(zhì)量解決方案市場正在尋找解決網(wǎng)絡(luò)安全問題的方法，但簡單地向它們投入資金最終不會改變安全狀況。必須正確實施解決方案才能真正幫助解決問題。

 這就是安全操作概念的由來。

 將安全性與核心業(yè)務(wù)基礎(chǔ)聯(lián)系起來

 每個企業(yè)都需要在幾個核心業(yè)務(wù)的基礎(chǔ)上取得成功。

 這包括商業(yè)文化——將所有人聚集在一起并使他們愿意在那里工作的一套價值觀——以及每個人對自己的角色所承擔(dān)的責(zé)任。

 然后是業(yè)務(wù)運營的流程，以及支持這些流程的資源——所有這些都越來越容易通過自動化實現(xiàn)。最后，所有業(yè)務(wù)活動都需要產(chǎn)生可測量的輸出。

 所有這些結(jié)合在一起形成了組織的戰(zhàn)略，像一顆北極星，它賦予了組織目標(biāo)并確定了其方向。

 網(wǎng)絡(luò)安全是一個獨特的命題，因為它與這些核心基礎(chǔ)中的每一個業(yè)務(wù)都有聯(lián)系。最終，除非具備這些要素，否則任何安全戰(zhàn)略都不可能成功。

 使網(wǎng)絡(luò)安全符合業(yè)務(wù)指標(biāo)

 實現(xiàn)網(wǎng)絡(luò)安全的第一步是開始像其他商業(yè)投資一樣思考網(wǎng)絡(luò)安全。不幸的是，網(wǎng)絡(luò)消費幾乎是隨機的，沒有目標(biāo)。當(dāng)然，這也意味著對績效和結(jié)果的有效衡量很少。

 很難想象其他任何商業(yè)元素會以這種方式運作，特別是在支出持續(xù)增長的情況下。

想象一下，一位銷售總監(jiān)要求將團隊人數(shù)增加一倍，但一年后這項投資并未帶來任何收入增長。大多數(shù)公司都會立即讓銷售總監(jiān)離開。

 然而，在網(wǎng)絡(luò)安全方面，大多數(shù)公司將繼續(xù)向新的解決方案投入資金，而不清楚自己的安全狀況是否有所改善。事實上，許多組織缺乏有意義的指標(biāo)來衡量其投資是否有任何回報。

 因此，衡量的指標(biāo)必須是安全運作的首要任務(wù)。實現(xiàn)這一目標(biāo)的指標(biāo)需要側(cè)重于降低風(fēng)險。公司需要有一個堅實的概念，知道他們在為每一個安全元素做預(yù)算時試圖保護什么，以及為什么要這樣做。

 企業(yè)需要確定哪些業(yè)務(wù)功能受到違規(guī)行為的影響最大，以及此類事件對業(yè)務(wù)運營的影響?；谶@種理解，企業(yè)可以逆向工作，構(gòu)建一個安全戰(zhàn)略，以緩解這些高優(yōu)先級風(fēng)險。

 對于其他業(yè)務(wù)要素，企業(yè)知道當(dāng)其運營中的某個要素明顯會虧損時，應(yīng)調(diào)整哪些杠桿。有些風(fēng)險可以緩解，有些風(fēng)險可以接受，有些風(fēng)險則可以轉(zhuǎn)移——同樣的思維過程也需要應(yīng)用于網(wǎng)絡(luò)安全。

企業(yè)文化和問責(zé)制是關(guān)鍵

 隨著公司對其網(wǎng)絡(luò)風(fēng)險優(yōu)先事項的認(rèn)識不斷提高，他們也應(yīng)該熟悉自己的成熟度水平。這不是一個單一的衡量標(biāo)準(zhǔn)，而是適用于每一個核心基礎(chǔ)——企業(yè)文化、問責(zé)制、流程、資源、自動化和衡量。

企業(yè)在一個領(lǐng)域的網(wǎng)絡(luò)風(fēng)險應(yīng)用可能比另一個領(lǐng)域更成熟。也許它已經(jīng)建立了成功的自動化，但缺乏問責(zé)制?；蛘叻粗嗳?。

 雖然某些業(yè)務(wù)方面更容易定義，但其他方面則更模糊。在安全方面，文化往往是一個模糊的概念，在特定的安全角色之外，問責(zé)制也往往沒有定義。

 這里一個有用的方法是在整個組織中建立與安全相關(guān)的各種角色，并為每個角色創(chuàng)建一個文化記分卡。更重要的利益相關(guān)者，如執(zhí)行領(lǐng)導(dǎo)層，應(yīng)該具有更高的成熟度水平，而對更一般的員工來說，這并不重要。如果一個部門的成熟度和責(zé)任感明顯低于您所需的水平，那么是時候開始實施培訓(xùn)等措施來改善情況了。

 適應(yīng)商業(yè)文化從來不是一個快速解決方案，因此企業(yè)應(yīng)該預(yù)計這是一個漸進的過程，至少需要12-18個月。

與此同時，企業(yè)可以開始實施可靠的指標(biāo)，以有效跟蹤其解決方案的投資回報率（ROI）。安全關(guān)鍵績效指標(biāo)（KPI）應(yīng)以非技術(shù)領(lǐng)導(dǎo)層和利益相關(guān)者能夠理解的方式與業(yè)務(wù)影響緊密相關(guān)。

 平均分辨時間（MTTR）是最有用的例子之一。在網(wǎng)絡(luò)環(huán)境中，這意味著從識別威脅或漏洞到關(guān)閉它之間的時間。但它在其他業(yè)務(wù)問題的更廣泛背景下也得到了很好的理解。

打破網(wǎng)絡(luò)安全支出循環(huán)

 很明顯，面對同樣飛漲的安全風(fēng)險，飛漲的網(wǎng)絡(luò)安全支出是不夠的。這種方法是不可持續(xù)的——特別是隨著業(yè)務(wù)技術(shù)本身在過去幾年中隨著云遷移和遠(yuǎn)程工作等因素的迅速變化。

 套用愛因斯坦的話：我們不能用我們創(chuàng)造問題時使用的那種思維來解決問題。

 企業(yè)需要后退一步，開始運營其信息安全性，而不僅僅是再增加一年的預(yù)算。是通過追蹤網(wǎng)絡(luò)安全與核心業(yè)務(wù)基礎(chǔ)的聯(lián)系，企業(yè)可以開始確保其投資在降低風(fēng)險敞口方面取得了真正的成效。